息系統(tǒng)基本情況調(diào)查表XX公司(模板)<備注：模板中斜體部分用于指導(dǎo)用戶填寫內(nèi)容，在采用該模板完成交付物XX公司 信息系統(tǒng)基本情況調(diào)查表二〇一X年X月批準：審核：校核：編寫：息系統(tǒng)基本情況調(diào)查表版本記錄說息系統(tǒng)基本情況調(diào)查表 信息系統(tǒng)基本情況調(diào)查表 2 23.4冗余設(shè)計(可選) 2 3 信息系統(tǒng)基本情況調(diào)查表 計 11 性設(shè)計 164.4.4數(shù)據(jù)的不可否認性設(shè)計 16 7 信息系統(tǒng)基本情況調(diào)查表1編寫依據(jù)《信息技術(shù)安全信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求B/T25070-20102安全需求說明2.1風(fēng)險分析此處依據(jù)安全需求分析報告描述互聯(lián)網(wǎng)應(yīng)用系統(tǒng)面臨的威脅和脆弱性2.2數(shù)據(jù)安全需求此處依據(jù)安全需求分析報告描述互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的數(shù)據(jù)安全需求，包括：訪問控制、機密性、完整性、可用性、不可否認性。按照數(shù)據(jù)的生命周期(產(chǎn)生、傳輸、處理、使用、存儲、刪除)進行描述2.3運行安全需求此處依據(jù)安全需求分析報告描述互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的運行安全需求，包括：安全監(jiān)控、安全審計、邊界安全保護、備份與故障恢復(fù)、惡意代碼防護3系統(tǒng)結(jié)構(gòu)及部署3.1系統(tǒng)拓撲圖此處描述系統(tǒng)各層設(shè)備的部署，主要側(cè)重安全設(shè)備之外的設(shè)備，包括：18頁腳內(nèi)容18頁腳內(nèi)容信息系統(tǒng)基本情況調(diào)查表WEB服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器,及其所處的區(qū)域，包括：外網(wǎng)接入二級系統(tǒng)安全需求網(wǎng)絡(luò)拓撲結(jié)構(gòu)示例信息系統(tǒng)基本情況調(diào)查表三級系統(tǒng)安全需求網(wǎng)絡(luò)拓撲結(jié)構(gòu)示例3.2負載均衡設(shè)計(可選)此處描述系統(tǒng)具體采用的負載均衡產(chǎn)品型號及數(shù)量，部署位置，部署目的，主要的配置策略3.3網(wǎng)絡(luò)存儲設(shè)計(可選)置要求3.4冗余設(shè)計(可選)此處以系統(tǒng)冗余設(shè)計要求，包括：單點故障的防范、主備設(shè)計、負載均衡 信息系統(tǒng)基本情況調(diào)查表3.5災(zāi)難備份設(shè)計(可選)此處以系統(tǒng)災(zāi)難備份設(shè)計要求，包括：同城和異地的災(zāi)難備份系統(tǒng)建設(shè)的要求，網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計、備份系統(tǒng)設(shè)計同步4系統(tǒng)安全設(shè)計4.1網(wǎng)絡(luò)安全設(shè)計4.1.1訪問控制設(shè)計此處描述系統(tǒng)采用的防火墻的配置策根略據(jù)，系統(tǒng)等保級別的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括防火墻的部署、以三級要求絡(luò)最大流量數(shù)及連接數(shù)的控制策略。3)商密增強要求(補充)系統(tǒng)的安全區(qū)域的劃分、安全區(qū)域間訪問控制策略設(shè)計等。4.1.2入侵防范設(shè)計此處描述系統(tǒng)針對端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩 信息系統(tǒng)基本情況調(diào)查表不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括對攻擊行為的監(jiān)三級要求庫的更新和系統(tǒng)更新。3)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計，包括4.1.3結(jié)構(gòu)安全設(shè)計此處描述系統(tǒng)針對網(wǎng)絡(luò)結(jié)構(gòu)的防護技術(shù)，包括：使用交換網(wǎng)絡(luò)、網(wǎng)絡(luò)結(jié)構(gòu)劃此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括根據(jù)信息重要性的不同劃分不同的子網(wǎng)或網(wǎng)段。三級要求3)商密增強要求(補充) 信息系統(tǒng)基本情況調(diào)查表此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計，包括對網(wǎng)絡(luò)區(qū)域內(nèi)所有設(shè)備的自動識別與定位、地址的綁定。4.2主機安全設(shè)計4.2.1操作系統(tǒng)4.2.1.1安全基線配置此處描述系統(tǒng)依據(jù)安全需求分析及公司基線要求所采用身份鑒別、訪問控制、安全審計、入侵防范及惡意代碼防范、資源控制、剩余信息保護策略，根據(jù)系統(tǒng)等保級別的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括身份鑒別方面：對操作系統(tǒng)用戶身份的標識和唯一性、靜態(tài)口令的組成要求策略、登錄失敗處理、管理用戶鑒別信息傳輸安全性；默認賬號限制；具體采用的操作審計產(chǎn)品型號及數(shù)量，部署位置，部署目的，主要的配置策略。具體采用的監(jiān)控審計產(chǎn)品型號及數(shù)量，部署位置，部署目的，主要的配置策略。入侵防范及惡意代碼防范方面：操作系統(tǒng)的最小安裝原則、惡意代碼軟件的安裝、更新以及統(tǒng)一管理；資源控制方面：終端接入方式、網(wǎng)絡(luò)地址范圍定義、操作超時處理、單個用戶對資源的最大及最小使用限度控制。級要求 信息系統(tǒng)基本情況調(diào)查表術(shù)設(shè)計，包括鑒別信息傳輸中被竊聽、重要信息資源設(shè)置敏感標記并根據(jù)安全策略進行訪問；訪問控制方面：用戶最小權(quán)限原則；安全審計方面：審計數(shù)據(jù)分析及報表實現(xiàn)、審計進程的保護避免受到中斷；的存儲空間，被釋放或再分配給其他用戶時，得到完全清除；入侵防范及惡意代碼防范方面：入侵行為的檢測、記錄和報警，對重要程序的完整性檢測以及破壞后的恢復(fù)措施，主機惡意代碼庫必須獨立網(wǎng)絡(luò)惡意代碼資源控制方面：對重要服務(wù)的監(jiān)視、對系統(tǒng)服務(wù)服務(wù)水平最小值進行設(shè)置、檢測和報警。3)商密增強要求(補充)身份鑒別：口令策略必須通過技術(shù)手段加以保障，系統(tǒng)用戶必須由單位內(nèi)部人員進行統(tǒng)一管理和使用、必須采用兩種或兩種以上組合的鑒別技術(shù)；訪問控制：賬號開設(shè)的審批程序及留檔、賬號權(quán)限及用戶角色的對應(yīng)、賬號入侵防范及惡意代碼防范方面：軟件白名單及黑名單的管理、禁止通過互聯(lián)； 信息系統(tǒng)基本情況調(diào)查表4.2.2數(shù)據(jù)庫4.2.2.1安全基線配置此處描述系統(tǒng)依據(jù)安全需求分析及公司基線要求所采用身份鑒別、訪問控制、入侵防范、資源控制、剩余信息保護策略，根據(jù)系統(tǒng)等保級別的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括身份鑒別方面：對數(shù)據(jù)庫用戶身份的標識和唯一性、靜態(tài)口令的組成要求策略、登錄失敗處理、管理用戶鑒別信息傳輸安全性；戶對資源的最大及最小使用限度控制。級要求術(shù)設(shè)計，包括鑒別信息傳輸中被竊聽，重要信息資源設(shè)置敏感標記并根據(jù)安全策略進行訪問；訪問控制方面：用戶最小權(quán)限原則； 信息系統(tǒng)基本情況調(diào)查表斷；具體采用的操作審計產(chǎn)品型號及數(shù)量，部署位置，部署目的，主要的配置策略。具體采用的數(shù)據(jù)庫審計產(chǎn)品型號及數(shù)量，部署位置，部署目的，主要的配置的存儲空間，被釋放或再分配給其他用戶時，得到完全清除；入侵防范及惡意代碼防范方面：入侵行為的檢測、記錄和報警，對重要程序的完整性檢測以及破壞后的恢復(fù)措施，主機惡意代碼庫必須獨立網(wǎng)絡(luò)惡意代碼資源控制方面：對重要服務(wù)的監(jiān)視、對系統(tǒng)服務(wù)服務(wù)水平最小值進行設(shè)置、檢測和報警。3)商密增強要求(補充)身份鑒別：口令策略必須通過技術(shù)手段加以保障，系統(tǒng)用戶必須由單位內(nèi)部人員進行統(tǒng)一管理和使用、必須采用兩種或兩種以上組合的鑒別技術(shù)；訪問控制：賬號開設(shè)的審批程序及留檔、賬號權(quán)限及用戶角色的對應(yīng)、賬號入侵防范及惡意代碼防范方面：軟件白名單及黑名單的管理、禁止通過互聯(lián)；4.2.2.2數(shù)據(jù)庫HA(可選)主要的配置策略。 信息系統(tǒng)基本情況調(diào)查表4.2.3中間件4.2.3.1安全基線配置此處描述系統(tǒng)依據(jù)安全需求分析及公司基線要求所采用身份鑒別、訪問控制、入侵防范、資源控制、剩余信息保護策略，根據(jù)系統(tǒng)等保級別的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括身份鑒別方面：對數(shù)據(jù)庫用戶身份的標識和唯一性、靜態(tài)口令的組成要求策略、登錄失敗處理、管理用戶鑒別信息傳輸安全性；戶對資源的最大及最小使用限度控制。級要求術(shù)設(shè)計，包括鑒別信息傳輸中被竊聽，重要信息資源設(shè)置敏感標記并根據(jù)安全策略進行訪問； 信息系統(tǒng)基本情況調(diào)查表訪問控制方面：用戶最小權(quán)限原則；的存儲空間，被釋放或再分配給其他用戶時，得到完全清除；入侵防范及惡意代碼防范方面：入侵行為的檢測、記錄和報警，對重要程序的完整性檢測以及破壞后的恢復(fù)措施，主機惡意代碼庫必須獨立網(wǎng)絡(luò)惡意代碼資源控制方面：對重要服務(wù)的監(jiān)視、對系統(tǒng)服務(wù)服務(wù)水平最小值進行設(shè)置、檢測和報警。3)商密增強要求(補充)身份鑒別：口令策略必須通過技術(shù)手段加以保障，系統(tǒng)用戶必須由單位內(nèi)部人員進行統(tǒng)一管理和使用、必須采用兩種或兩種以上組合的鑒別技術(shù)；訪問控制：賬號開設(shè)的審批程序及留檔、賬號權(quán)限及用戶角色的對應(yīng)、賬號入侵防范及惡意代碼防范方面：軟件白名單及黑名單的管理、禁止通過互聯(lián)；4.2.3.2中間件HA(可選)此處描述實現(xiàn)中A具體采用的產(chǎn)品型號及數(shù)量，部署位置，部署目的，的配置策略。 信息系統(tǒng)基本情況調(diào)查表4.3應(yīng)用安全設(shè)計4.3.1身份鑒別防護設(shè)計此處描述系統(tǒng)針對暴力猜解攻擊的防護技術(shù)和：，身份認證手段、密碼強度、密碼有效期、圖片驗證碼、認證失敗處理方式，根據(jù)系統(tǒng)等保級別的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括使用專用登錄控鑒別信息復(fù)雜度檢查策略可配置。三級要求術(shù)設(shè)計，包括對同一用戶應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒計，密碼強度、密碼有效期策略設(shè)計。)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計，包括單位內(nèi)部人員進行用戶的統(tǒng)一管理和使用。4.3.2訪問控制防護設(shè)計此處描述系統(tǒng)針對信息泄漏的防護技術(shù)，包括：用戶分類管理、重要用戶安分、授權(quán)粒度，根據(jù)系統(tǒng)等保級別的不同采用以下不強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括訪問控制功能設(shè) 信息系統(tǒng)基本情況調(diào)查表計，訪問控制策略設(shè)計，訪問控制范圍，賬號最小權(quán)限原則，默認賬號的訪問權(quán)限限制，關(guān)鍵用戶及權(quán)限的對應(yīng)關(guān)系表設(shè)計。三級要求術(shù)設(shè)計，包括對重要信息資源設(shè)置敏感標記的功能及依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。3)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計，包括賬號開設(shè)的審批流程、審批主管部門以及留檔設(shè)計4.3.3自身安全防護設(shè)計4.3.3.1注入攻擊防護設(shè)計此處描述系統(tǒng)針對注入攻擊的防護技術(shù)和產(chǎn)品，包括：程序開發(fā)的輸入檢測、應(yīng)用防火墻。4.3.3.2漏洞利用防護設(shè)計此處描述系統(tǒng)針對緩沖區(qū)漏n、icode二次編碼等漏洞的防護技術(shù)和產(chǎn)品，包括：程序開發(fā)的輸入數(shù)據(jù)、應(yīng)用防火墻。4.3.3.3防篡改設(shè)計此處描述系統(tǒng)針對防篡改的技術(shù)和產(chǎn)品，包括：網(wǎng)頁防篡改。4.3.4應(yīng)用審計設(shè)計闡述本系統(tǒng)的審計對象、范圍(操作、事件、)格式、報表要求，審計日志增強要求作為補充要求： 信息系統(tǒng)基本情況調(diào)查表此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括審計功能應(yīng)覆蓋三級要求年，審計記錄數(shù)據(jù)地統(tǒng)計、查詢、分析及生成審計報表的功能設(shè)計，每次登錄時顯示上次成功登錄的記錄。3)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計，包括集中審計數(shù)據(jù)存儲、傳輸、外放使用、打印等行為的審計、外放內(nèi)容審計。4.3.5通信完整性防護設(shè)計此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括保證通信過程中數(shù)據(jù)的完整性所采用的校驗碼技術(shù)。三級要求術(shù)設(shè)計，包括保證通信過程中關(guān)鍵數(shù)據(jù)完整性所應(yīng)采用的密碼技術(shù)。3)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計。 信息系統(tǒng)基本情況調(diào)查表4.3.6通信保密性防護設(shè)計此處描述系統(tǒng)針對嗅探的防護技術(shù)，包括：使SL，數(shù)據(jù)加密，根據(jù)系統(tǒng)等保級別的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括會話初始化驗證時應(yīng)用系統(tǒng)采用的密碼技術(shù)，敏感信息通信過程中的加密設(shè)計；三級要求會話過程中使用的專用通信協(xié)議或加密方式設(shè)計；3)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計。4.3.7防抵賴設(shè)計此處描述系統(tǒng)針對防抵賴的技術(shù)和產(chǎn)品，包括：日志，數(shù)字簽名，根據(jù)系統(tǒng)等保級別的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：接收者提供數(shù)據(jù)原發(fā)及接收證據(jù)功能的技術(shù)設(shè)計，包括日志、數(shù)字簽名等。2)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計，包括實現(xiàn)為數(shù)據(jù)原發(fā)者及接收者提供數(shù)據(jù)原發(fā)及接收證據(jù)功能的技術(shù)設(shè)計，包括日志、數(shù)字簽名等。 信息系統(tǒng)基本情況調(diào)查表4.3.8系統(tǒng)交互安全設(shè)計4.3.8.1本系統(tǒng)涉及的相關(guān)系統(tǒng)說明此處描述所有和本系統(tǒng)互聯(lián)的系統(tǒng)介紹，傳輸?shù)臄?shù)據(jù)類型，采用的傳輸方式4.3.8.2系統(tǒng)交互安全性設(shè)計口還是非接口，)采用的安全設(shè)計，包括：設(shè)備部署、傳輸協(xié)議、數(shù)據(jù)加密、邊界訪問控制、授權(quán)、審計4.3.8.3系統(tǒng)安全監(jiān)控和檢測設(shè)計此處描述系統(tǒng)間交互采用的安全監(jiān)控和檢測設(shè)計，包括：協(xié)議分析和流量統(tǒng)計、操作審計、數(shù)據(jù)庫審計、集中審計監(jiān)控、邊界訪問控制、授權(quán)、審計4.4數(shù)據(jù)及備份安全設(shè)計4.4.1數(shù)據(jù)的保密性設(shè)計此處描述數(shù)據(jù)的保密性設(shè)計，包括：訪問限制、身份鑒別、數(shù)據(jù)采集的保密性、數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?shù)據(jù)使用的保密性、數(shù)據(jù)存儲的保密性、數(shù)據(jù)刪除的此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括實現(xiàn)鑒別信息存儲的保密性所采用的加密或其他保護措施設(shè)計；級要求術(shù)設(shè)計，包括實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采集、傳輸、使用和存儲過程的保密性所采用加密或其他有效措施設(shè)計； 信息系統(tǒng)基本情況調(diào)查表3)商密增強要求(補充)此處描述系統(tǒng)除了符合等保要求外，需要符合的商密增強要求的設(shè)計，包括數(shù)據(jù)的分級，密級標識及防護策略設(shè)計，數(shù)據(jù)存儲類型分類及防護策略的設(shè)計，4.4.2數(shù)據(jù)的完整性設(shè)計的不同采用以下不同的設(shè)計，商密增強要求作為補充要求：此處描述系統(tǒng)根據(jù)等保二級要求所采用的技術(shù)設(shè)計，包括實現(xiàn)鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞時所采用的檢測技術(shù)設(shè)計；三級要求術(shù)設(shè)計，包括實現(xiàn)系統(tǒng)管